Normal

Sikkerhetshull avslørte reiseinformasjon og taxfree-bestillinger

Data om personer som har bestilt reiser gjennom selskapet Thomas Cook har ligget tilgjengelig på nett. Informasjonen kunne spores fem år tilbake i tid.

Thomas Cook Airlines Airbus A321-200

HULL: Flere reiseselskaper, blant annet Ving, inngår i gruppen Thomas Cook Northern Europe. En norsk dataprogrammerer fant nylig et sikkerhetshull i selskapets bookingsystem.

Foto: Adrian Pingstone / Wikimedia

– Jeg er overrasket over at et så stort selskap ikke har foretatt seg noe ekstra for å sikre informasjonen til kundene sine, sier Konstantin Loginov.

I 2016 bestilte han en reise til Jamaica gjennom reisebyrået Ving. Ving er en del av det nordiske selskapet Thomas Cook Northern Europe.

For noen uker siden ble Loginov kontaktet av sin venn, programmerer Roy Solberg.

Solberg hadde oppdaget et stort sikkerhetshull på reiseselskapets bestillingssider og Loginov var av dem som var rammet.

Konstantin Leginov

RAMMET: Konstantin Loginov er en av dem som ble rammet av datalekkasjen i reiseselskapene Ving og Thomas Cook Airlines.

Foto: Privat

Feilen gjorde at man kun ved hjelp av et gyldig bookingnummer kunne få ut følgende informasjon:

  • dato og sted for utreise
  • flightnummer for utreise
  • dato og sted for hjemreise
  • fullt navn på alle reisende
  • e-postadresse til den som bestilte reisen
  • hva den reisende evt. har bestilt fra taxfree-butikken under reisen

Solberg mener dette er problematisk av flere grunner.

– Det ene er at ingen skal vite hvem som er ute og flyr når. Det andre er at man plutselig vet når noens hus står tomt. Det tredje er såkalte falske e-poster, som kan lokke ut visa-nummer, sier han.

– Lett å utnytte informasjonen

Da Solberg oppdaget feilen, kunne han hente ut informasjon helt tilbake til 2013, samt reiser som er bestilt for 2019.

Han vet ikke hvor mange som er rammet, men regner med det gjelder tusenvis, da Thomas Cook opererer i hele Norden.

Ifølge programmereren er det svært lett å utnytte et slikt sikkerhetshull.

– Nå når det er så mye fokus på personvern, er det spesielt at mange selskaper ikke engang har kontaktinfo for å gi beskjed om eventuelle feil eller lekkasjer, sier Solberg.

Det var den finske allmennkringkasteren Yle som først omtalte sikkerhetshullet.

Roy Solberg

VARSLET: Roy Solberg er programmerer og det var han som oppdaget lekkasjen i reisebyråene.

Foto: Anders Ekanger / NRK

Direktør i Datatilsynet, Bjørn Erik Thon, sier det skal være vanskeligere enn dette å komme seg inn på et bookingsystem.

– Dette er ikke informasjon som uvedkommende skal ha tilgang til. Jo mer informasjon du har om den enkelte, jo lettere er det å svindle, sier han.

Thon presiserer likevel at faren for at informasjonen har blitt utnyttet av svindlere ikke er så stor.

– Jeg vil tro det er et relativt begrenset antall som har vært inne og sett på informasjonen, sier han.

Brukte ni dager på å svare

Solberg kontaktet Ving samme dag som han oppdaget feilen.

Ni dager senere fikk han en mail fra Thomas Cook med beskjed om at de trengte et bookingnummer for å kunne hjelpe ham.

– Jeg prøvde å forklare at jeg ønsket å rapportere et sikkerhetshull. Det er overraskende at det ikke er noe apparat for slike henvendelser, sier Solberg.

Kommunikasjonsansvarlig Fredrik Henriksson i Thomas Cook Norden mener at sikkerhetshullet ikke gjaldt sensitiv informasjon og at feilen gjelder et mindre antall bookinger.

I en e-mail skriver han at selskapet handlet raskt etter varslingen.

– Vi økte umiddelbart sikkerheten og gjennomførte en omfattende risikoanalyse, sier han.

Sikkerhetshullet skal nå være tettet.